McAfee Enterprise Security Manager での Kaspersky CyberTrace 検知イベントの解析

このセクションでは、次の形式の Kaspersky CyberTrace 検知イベントを解析する方法について説明します：

Kaspersky CyberTrace Detection Event| date=%Date% reason=%Category% detected=%MatchedIndicator% act=%DeviceAction% dst=%RE_IP% src=%SRC_IP% hash=%RE_HASH% request=%RE_URL% dvc=%DeviceIp% sourceServiceName=%Device% suser=%UserName% msg:%RecordContext%

Kaspersky CyberTrace 検知イベントの形式を変更する場合は、McAfee Enterprise Security Manager で Kaspersky CyberTrace パーサールールを変更する必要があることに注意してください。

検知イベントを解析するには、［Advanced Syslog Parser Rule］ダイアログボックスに次のデータを入力します：

［General］タブで、次のデータを入力します：
- Name：Kaspersky_CyberTrace_DetectionEvent
- Tags：ルールを定義するタグ（つまり、イベントのフィルタリング中に使用されるタグ）を選択します
- Rule Assignment Type：User Defined 1
- Description：The Kaspersky CyberTrace detection event

［Parsing］タブで、次のデータを入力します：

Provide content strings：Kaspersky CyberTrace Detection Event
Sample Log Data：URL 検知イベントの例を指定します。例：
Kaspersky CyberTrace Detection Event| date=Oct 12 16:13:23 reason=KL_BotnetCnC_URL detected=http://fakess123bn.nu act=REQUEST_URL dst=192.168.1.0 src=192.168.2.0 hash=776735A8CA96DB15B422879DA599F474 request=http://fakess123bn.nu dvc=192.168.3.0 sourceServiceName=FireWall suser=UserName msg:popularity=5 geo=vn, in, mx threat=Trojan.Win32.Waldek
イベントを解析するための次の正規表現を追加します：

Name	Regular Expression
`ct_date`	`date\=(\S+\s\d+\s\S+)`
`ct_reason`	`reason\=(.*)\sdetected`
`ct_indicator`	`detected\=(.*)\sact`
`ct_dev_action`	`act\=(.*)\sdst`
`ct_dst`	`dst\=(\S+)`
`ct_src`	`src\=(\S+)`
`ct_hash`	`hash\=(\S+)`
`ct_request`	`request\=(.*)\sdvc`
`ct_dev_ip`	`dvc\=(\S+)`
`ct_serviceName`	`sourceServiceName\=(.*)\ssuser`
`ct_username`	`suser\=(.*?)\smsg`
`ct_context`	`msg\:(.*)$`

［Field Assignment］タブで、次のデータを入力します：

Field	Expression
Action	`"0"`
First Time	［`ct_date`］をこのフィールドにドラッグします
URL	［`ct_request`］をこのフィールドにドラッグします
Destination IP	［`ct_dst`］をこのフィールドにドラッグします
Device_Action	［`ct_dev_action`］をこのフィールドにドラッグします
Hash	［`ct_hash`］をこのフィールドにドラッグします
Host	［`ct_dev_ip`］をこのフィールドにドラッグします
Message_Text	［`ct_context`］をこのフィールドにドラッグします
Object	［`ct_indicator`］をこのフィールドにドラッグします
Return_Code	［`ct_reason`］をこのフィールドにドラッグします
Service_Name	［`ct_serviceName`］をこのフィールドにドラッグします
Severity	`"80"`
Source IP	［`ct_src`］をこのフィールドにドラッグします
Source User	［`ct_username`］をこのフィールドにドラッグします

McAfee ESM では、［Object］フィールドが［ObjectID］に名前変更されます。

［Mapping］タブで、次のデータを入力します：
- 時間データテーブルでは、次のデータを使用します：

Time Format	Time Fields
`%b %d %H:%M:%S`	`First time`

アクションテーブルでは、次のデータを使用します：

Action Key	Action Value
`0`	`Success`

重大度テーブルでは、次のデータを使用します：

Severity Key	Severity Value
`80`	`80`

上記の値を指定した後、次を実行します：

［Default Policy］リストで、 Kaspersky CyberTrace デバイスを選択し、Kaspersky_CyberTrace_DetectionEvent ルールを有効にします。
［File］→［Save］の順に選択して現在の状態を保存します。
［Operations］→［Rollout］の順に選択して、ポリシーをロールアウトします。
Kaspersky CyberTrace デバイスを再初期化します。
［Operations］→［Modify Aggregation Settings］の順に選択して、Kaspersky CyberTrace サービスイベントの集約ルールを変更します。
［Modify Aggregation Settings］ダイアログボックスが表示されます。
次の値を指定します：
- ［Field 2］を［Object］に設定します。
- ［Field 3］を［Return_Code］に設定します。
［OK］をクリックします。
ロールアウトのリクエストを確定します。

ページのトップに戻る